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correctly received by each reception node processor. 
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Die folganden Angabon sind dan vom Anmelder eingereichten Unterlagen entnommen 

(5) Effizientes Quittungsverfahren in einem verteilten zeitgesteuerten Echtzeit system 

® Quittungsverfahren in einem zeitgesteuerten verteilten 
fehlertoleranten Echtzeitcomputersystem, bei dem die 
Entscheidung, ob die Nachricht eines Senders bei den 
Empfangern richtig angekommen ist, aus der Auswer- 
tung der impliziten in der Prufsumme enthaltenen Mem- 
bershipinformation erfolgt. Wenn der Nachfolger des 
Senders den Sender als fehlerhaft beurteilt, so entschei- 
det der Nachfolger des Nachfolgers des Senders, ob der 
Sender oder der Nachfolger des Senders fehlerhaft ist. 
Kommunikationskontrolleinheit, die dieses Verfahren in 
Hardware umsetzt. 
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25 TECHNISCHES UMFELD 

Diese Erfindung betrifft ein zeitgesteuertes Kommunikationsverfahren und eine zeitgesteuerte Kommunikationskon- 
trolleinheit zur Ubertragung von Nachrichten in einem verteilten fehlertoleranten Echtzeitcomputersystem. 

30 HINTERGRUND DIESER ERFINDUNG 

Sicherheitskritische technische Anwendungen, d.s. Anwendungen wo ein Fehler im Zeitbereich zu einer Katastrophe 
fiihren kann, werden zunehmend von verteilten Computersystemen gefuhrt. 

In einem verteilten sicherheitskritischen Echtzeitcomputersystem, bestehend aus einer Anzahl von Knotenrechnern 

35 und einem Echtzeitkommunikationssystem, muB der Ausfall eines Knotenrechners mit geringer Verzogerung erkannt 
werden. Im Kern einer solchen Compute rarchitektur befindet sich ein fehlertolerantes Echtzeitkommunikationssystem 
zum vorhersehbar schnellen und sicheren Austausch von Nachrichten. In einem Echtzeitkommunikationssystem soli die 
Lange der Nachrichten so kurz wie nur moglich sein, urn eine schnelle Reaktion des Systems auch bei geringer verfug- 
barer Bandbreite zu ermoglichen. 

40 Bekannten Methoden der Nachrichtenubertragung in verteilten Echtzeitsystemen sind J1850, CAN und andere. Eine 
Gegenuberstellung dieser Methoden findet sich im 1992 SAE Handbook, Vol., pp. 20.301-20.302, Society of Automo- 
tive Engineers, 400 Commonwealth Drive, Warrendale, Pa, USA. Keine dieser Methoden bietct spcziclle Dienstc an, die 
den Bau von fehlertoleranten Rechnersystemen vereinfachen. 

Die Implementierung der Fehlertoleranz in verteilten Computersystemen wird vereinfacht, wenn das Kommunikati- 

45 onssystem folgende Leistungen erbringt: Rechtzeitige Ubertragung von Nachrichten auch im Fehlerfall, fehlertolerante 
Uhrensynchronisation, einen Membershipdienst, um den Ausfall eines Knotens konsistent erkennen zu konnen, und ei- 
nen Rekonfigurationsdiensl, um ausgefallene Knotcn dynamisch crsetzcn zu konnen. 

Ein Protokoll, das diese Anforderungen erfullt ist im zitierten Europaischen Patent 0 658 257 v. 18.12.96 sowie in der 
Internationalen Patenanmeldung PCT/AT 93/00 138 beschrieben. Das Protokoll ist unter dem Namen "Time-Triggered 

50 Protokoll (TIT) bekannt geworden. TTP verwendet ein Verfahren zur fehlertoleranten Uhrensynchronisation, das im US 
Patent: 4,866,606 offengelegt wurde. 

In TTP werden replizierte fail-silent Knotenrechner zu einer fehlertoleranten Einheit (Fault-Tolerant Unit-FTU) zu- 
sammcngefaBl. Solange ein Knotenrechner einer FTU funktioniert, werden die Dienste der FTU im Zeit- und Wertebe- 
reich erbracht. Die Membership in TTP bezieht sich auf die Funktion der FTU. 

55 Wenn nun in einer Anwendung replizierte und nicht replizierte Knotenrechner nebeneinander eingesetzt werden, so 
ergeben sich beim TTP folgende Nachteile: 

(i) Die nicht replizierten Knotenrechner beanspruchen die voile Bandbreite einer FTU, was zu einem Verlust von 
50% der Bandbreite fiihrt. 

60 (ii) Wenn alle Nachrichten eines nicht replizierten Knotenrechners gestort werden verliert der Knotenrechner seine 

Membership und kann aufgrund des impliziten Quittungsmechanismus von TTP die nachste Nachricht nicht richtig 
empfangen. 

Diese Nachteile werden durch die vorliegende Erfindung behoben. 

65 

ZUSAMMENFASSUNG 

Es ist das wesentliche Ziel der vorliegenden Erfindung die Dateneffizienz, Robustheit und Flexibility von zeitgesteu- 
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erten Protokollen, wie z. B. von TTP, durch ein neues implizites Quittungsverfahren wesentlich zu verbessern. 

Dieses Ziel wird dadurch erreicht, daB sich die Membership auf die Funktion der Knotenrechner (und nicht auf die 
Funktion der FTU) bezieht und daB auf die in einem zeitgesteuerten Protokoll vorgesehenen Quittungsbits im Nachrich- 
tenkopf verzichtet wird. Entsprechend dieser Erflndung erfolgt die Quittung der Nachrichten irnplizit uber ein enveitertes 
Auswerteverfahren des Mcmbershipvcktors. 5 

KURZE BESCHREIBUNG DER ABBILDUNGEN 

Das vorab beschriebene Ziel und andere neue Eigenschaften der vorliegenden Erfindung werden in den angefuhrten 
Abbildungen erlautert. 10 

Fig, 1 zeigt die Struktur eines verteilten Computersystems mit fiinf Knotenrechnem, die liber duplizierte Kommuni- 
kationskanale verbunden sind. 

Fig, 2 zeigt die Struktur eines Knotenrechners, bestehend aus einer Kommunikationskontrolleinheit und einem Host 
Computer, die uber das Communication Network Interface (CNT) kommunizieren, 

Fig, 3 zeigt die Datenstruktur, die den Scndezeitpunkt von Nachrichten vorgibt. 15 

Fig. 4 zeigt die Folge von Nachrichten, wie sie auf den beiden Kommunikationskanalen gesendet werden. 

Fig. 5 zeigt den Aufbau des Membershipvektors. 

Fig. 6 zeigt den Aufbau einer Nachricht. 

Fig. 7 zeigt die Felder, die bei der CRC Berechnung norrnaler Nachrichten berucksichtigt werden. 



BESCHREIBUNG EINER REALISIERUNG 
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Im folgenden Abschnitt wird eine Realisierung des neuen Verfahrens an einem Beispiel mit flinf Knotenrechnem, die 
uber zwei replizierte Kommunikationskanale verbunden sind, gezeigt. Die Objekte in den Abbildungen sind so nume- 
riert, daB die erste der dreistelligen ObjektzifFern immer die Bildnummer angibt. 25 

Fig. 1 zeigt ein System von funf Knotenrechnem 110, 120, 130, 140, und 150. Ein Knotenrechner bildct cine aus- 
tauschbare Einheit (SRU, smallest replaceable unit). Jeder Knotenrechner ist uber zwei Anschliisse mit den replizierten 
Kommunikationskanalen 101 und 102 verbunden. Die beiden Kommunikationskanale unterstiitzen Broadcast, d. h., jede 
Nachricht kann im fehlerfreien Fall von alien Knotenrechnem empfangen werden. 

Fig. 2 zeigt den inneren Aufbau eines Knotenrechners. Er besteht aus zwei Subsystemen der Kommunikationskon- 30 
trolleinheit 210, die mit den replizierten Kommunikationskanalen 201 und 202 verbunden ist, und den Host Computer 
220, auf dem die Anwendungsprogramme des Knotenrechners ausgefiihrt werden. Diese beiden Subsystemen sind uber 
das Communication Network Interface (CNI) 241 und eine Signalleitung 242 verbunden. Das CNI besteht aus einem 
Speicher (Dual Ported RAM, DPRAM) 241 auf das beide Subsysteme zugreifen konnen. Die beiden Subsysteme tau- 
schen uber diesen gemeinsamen Speicher 241 die Kommunikationsdaten aus. Die Signalleitung 242 dient zur Ubertra- 35 
gung der synchronisierten Zcitsignale. Diese Signalleitung ist im angefuhrten US Patent 4,866,606 genau beschrieben. 
Die Kommunikationskontrolleinheit 210 vcrfugt uber eine Kommunikationskontrolleinheit 211 und eine Datenstruktur 
212 die angibt, zu welchen Zeitpunkten Nachrichten gesendet und empfangen werden miissen. Die Datenstruktur 212 
wird als Message Descriptor List (MEDL) bezeichnet. 

Die Datenstruktur 212 hat die Form einer Tabelle wie in Fig. 3 dargestellt. In der ersten Spalte dieser Tabelle 301 sind 40 
die Zeitpunkte der global synchronisierten Zeit eingetragen zu denen Nachrichten empfangen oder gesendet werden 
miissen. Die nachste Spalte 302 gibt an, von welcher Adresse des DPRAM 241 die Nachrichten gelesen werden oder wo- 
hin im DPRAM 241 die Nachrichten geschrieben werden. Die dritte Spalte 303 enthalt weitere Attribute der Nachrich- 
ten, wie die Nachrichtenlange und ob es sich bei der Nachricht urn eine Eingabenachricht oder eine Ausgabenachricht 
handelt. 45 

Fig. 4 zeigt den zeitlichen Verlauf einer Senderunde auf den beiden Kommunikationskanalen 101 und 102. Die glo- 
bale Zeit schreitet von links nach rechts. Die Knotenrechner senden ihre Nachrichten nach dem bekannten zyklischen 
Zeitscheibenverfahren (Time-Division Multiple Access TDMA). Jeder Knotenrechner sendet in jeder TDMA Runde 
gleichzeitig eine Nachricht auf jedem der beiden replizierten Kanale, dem Kanal 401 und dem Kanal 402. Zwischen dem 
Senden von zwei aufeinanderfolgenden Nachrichten erfolgt eine Pause, die als Interframe Gap (IFG) (411, 421, 431, 441, 50 
451) bezeichnet wird. Im Zeitintervail 410 sendet Knotenrechner 110 mit dem folgenden IFG 411, anschlieBend sendet 
Knotenrechner 120 wahrend dem Zeitintervail 420 mit dem IFG 421, dann Knotenrechner 130 wahrend dem Zeitinter- 
vail 430 mit dem IFG 431, dann Knotenrechner 140 wahrend dem Zeitintervail 440 mit dem IFG 441 und schlieBlich 
Knotenrechner 150 wahrend dem Zeitintervail 450 mit dem IFG 451. 

Fig. 5 zeigt den Membershipvektor eines Knotenrechners. Der Membershipvektor ist ein Bitvektor, dessen Lange der 55 
Anzahl der Knotenrechner entspricht. Jedem Knotenrechner ist eine Bitposition im Membershipvektor zugeordnet. Im 
gegebenen Beispiel hat der Membershipvektor eine Lange von 5 Bits. Bit 510 ist dem Knotenrechner 110, Bit 520 ist 
dem Knotenrechner 120, Bit 530 ist dem Knotenrechner 130. Bit 540 ist dem Knotenrechner 140 und Bit 550 ist dem 
Knotenrechner 150 zugeordnet. Wenn ein Knotenrechner funktioniert, so ist das entsprechende Bit "WAHR", wenn er 
nicht funktioniert, so ist das entsprechende Bit "EALSCH". Jeder Knotenrechner verfugt uber eine eigene Sicht des 60 
Membershipvektors. Diese verschiedene Sichten werden durch das Protokoll konsistent gehalten. 

Fig. 6 zeigt den Aufbau einer Nachricht. Eine Nachricht besteht aus drei Feldem, dem Header 601, dem Datenfeld va- 
riabler Lange 602, und dem Prufsummenfeld 603. Der Header 601 besteht. aus 4 Bits, dem Initialisierungs/Normal (I/N) 
Bit 611 das angibt ob es sich bei der Nachricht um eine Initialisierungsnachricht oder eine normale Nachricht handelt, 
und drei Modewechselbits (612, 613, 614) die angeben, ob nach dem Empfang der Nachricht ein Betriebsartenwechsel 65 
durchgefiihrt werden soil. 

Fig. 7 zeigt die Datenfelder, die bei der CRC Berechnung berucksichtigt werden. Entsprechend dem Europaischen Pa- 
tent 0 658 257 wird die Prufsumme jeder normalen Nachricht uber die Verkettung des Headers 701, des Datenfeldes 702, 
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und dem inneren Zustand des Senders 703 gebildet. Der innere Zustand des Senders besteht aus der globalen Zeit des 
Senders, der gegenwartigen Position in der MEDL 212 und dem Membership vektor (Fig. 5). Der Empfanger uberpruft 
das CRC unter Beriicksichtigung des inneren Zustandes des Empfangers und kann daher erkennen, ob der Sender und 
Empfanger den gleichen Membershipvektor besitzen. 
5 Nachdem die einzclnen Bausteine beschrieben wurden, wird nun die Realisierung der Erfindung anhand eines Ablaufs 
entsprechend den Abb. 1-7 erklart. Zuerst wird ein fehlerfreier Ablauf der Kommunikation beschrieben. 

Im IFG 401 bereitet sich der Knotenrechner 110 auf das Senden der Nachricht 410 vor. Er setzt sein Membership Bit 
510 auf "WAHR" und berechnet die Priifsumme unter Beriicksichtigung seines aktuellen inneren Zustands. Dann beginnt 
Knotenrechner 110 mit dem Senden der Nachricht auf beiden Kommunikationskanalen 101 und 102. Im EFG 411 emp- 

10 fangt Knotenrechner 120 die beiden Nachrichtcn von Knotenrechner 110. Knotenrechner 120 vcrkettel. die empfangene 
Nachricht 410 mit seinem aktualisierten Membershipvektor und errechnet die Priifsumme der Nachricht 410. Der Mem- 
bershippunkt eines Knotenrechners ist das IFG nach dem Senden der Nachricht, also IFG 411 fur den Knotenrechner 110. 
Wenn die Priifsumme bei mindestens einer der beiden Nachrichten richtig ist, so schlieBt Knotenrechner 120, daB Kno- 
tenrechner 110 im IFG 411 funktioniert hat und der innere Zustand 703 von Knotenrechner 110 mit dem inneren Zustand 

15 703 von Knotenrechner 120 ubercinstimmt. Knotenrechner 120 setzt sein Memhcrshipbit 510 von Knotenrechner 110 
auf "WAHR". Knotenrechner 120 bereitet sich wahrend IFG 411 auf das Senden seiner Nachricht vor. Er setzt sein Mem- 
bershipbit 520 auf "WAHR" und berechnet die Nachrichtenprufsumme mit seinem neuen aktuellen inneren Zustand. 
Dann sendet Knotenrechner 120 im Zeitintervall 420 seine Nachricht. Im IFG 421 empfangt Knotenrechner 110 die 
Nachricht vom Knotenrechner 120. Knotenrechner 110 errechnet sich die PrUfsumme der Nachricht 420 unter der An- 

20 nahme, daB er zu seinem Membership Punkt aus der Sicht von Knotenrechner 120 funktioniert hat (Auswertung 1: 
AW1). Stimmt die Prufsumme so ist die Annahme bestatigt und die Quittung der Nachricht 410 von Knotenrechner 110 
durch den Nachfolger 120 positiv ausgefallen, Im fehlerfreien Fall wird dieser Algorithmus nach jedem Sendevorgang in 
gleicher Weise ausgefuhrt. Der Nachfolger von Knotenrechner 150 ist Knotenrechner 110, entsprechend dem Ablauf des 
TDMA Verfahrens. 

25 Der folgende Abschnitt beschreibt die Funktion des innovativen Quittungsverfahrens im Fehlerfall. Es wird hier an- 
genommen, daB innerhalb einer TDMA Runde einer der folgenden Fehler auftreten kann: 

(i) Der sendende Knotenrechner macht einen Fehler, 

(ii) Beide Nachrichten von einem Knotenrechner werden beim Transport gestort. 
30 (iii) Der empfangene Knotenrechner macht einen Fehler. 

Wenn im vorab beschriebenen Fall die t Jberpriifung der Nachricht 420 durch Knotenrechner 110 negativ ausfallt, so 
setzt Knotenrechner 110 vor einer zweiten Berechnung der Prufsumme (die parallel oder sequentiell zur ersten Berech- 
nung ausgefuhrt werden kann) sein Membershipbit 510 auf "FALSCH" (Auswertung 2: AW2). Wenn auch diese zweite 
35 Oberprufung durch Knotenrechner 110 keine richtige Prufsumme ergibt, so nimmt Knotenrechner 110 an, daB beide 
Nachrichten vom Knotenrechner 120 gestort wurden. Knotenrechner 110 nimmt Knotenrechner 120 aus der Membership 
indem er das Membershipbit 520 von Knotenrechner 120 auf "FALSCH" setzt. Von nun an ist Knotenrechner 130 der di- 
rekte Nachfolger von Knotenrechner 110. 

Stimmt die zweite Uberpriifung, so hat sich die Hypothese bestatigt daB Knotenrechner 120 annimmt, Knotenrechner 
40 110 sei fehlerhaft. Diese Situation kann zwei Griinde haben 

(i) Die Nachrichten von Knotenrechner 110 wurden auch von anderen Knotenrechnern nicht richtig empfangen, 
d. h. Knotenrechner 110 ist fehlerhaft. 

(ii) Knotenrechner 120 ist fehlerhaft. 

45 

Die Entscheidung welche dieser Alternativen stimmt, wird Knotenrechner 130 ubertragen, 

Wenn nun die Nachricht 430 von Knotenrechner 130 bei Knotenrechner 110 cintrifft, so berechnet Knotenrechner 110 
zwei Priifsummen mit folgenden Annahmen: 

50 (i) Knotenrechner 110 setzt das Membershipbit 510 auf "FALSCH" und Membershipbit 520 auf "WAHR". Das be- 

deutet, daB Knotenrechner 110 annimmt er wird als fehlerhaft und Knotenrechner 120 als richtig angesehen (Aus- 
wertung 3: AW3). 

(ii) Knotenrechner 110 setzt Membershipbit 510 auf "WAHR" und Membershipbit 520 auf "FALSCH". Das bedeu- 
tet, daB Knotenrechner 110 annimmt er wird als richtig und Knotenrechner 120 als fehlerhaft angesehen (Auswer- 
55 tung4:AW4). 

Wenn die Prufsumme unter der Annahme (i) stimmt, dann hat Knotenrechner 130 entschieden daB Knotenrechner 120 
recht hat. Knotenrechner 110 setzt sein Membershipbit 510 auf "FALSCH" und das Membershipbit 520 von Knotenrech- 
ner 120 auf "WAHR". 

60 Wenn die PrUfsumme unter der Annahme (ii) stimmt, dann hat Knotenrechner 130 entschieden, daB Knotenrechner 
110 recht hat. Knotenrechner 110 setzt sein Membershipbit 510 auf "WAHR" und das Membershipbit 520 von Knoten- 
rechner 120 auf "FALSCH" . 

Wenn keine dieser Annahmen zu einer richtigen Prufsumme fuhrt, so nimmt Knotenrechner 110 an daB ein Doppel- 
fehler vorliegt. Urn die fail-silent Eigenschaft zu wahren, setzt er sein Membershipbit 510 auf "FALSCH". 
65 Insgesamt werden vom urspriinglichen Sender 110 zwei CRC Auswertungen der Nachricht des Nachfolgers 120 und 
zwei CRC Auswertungen der Nachricht des Nachfolgers des Nachfolgers 130 vorgenommen: 



4 



DE 197 53 288 A 1 



Auswertung 


Nachricht kommt vom 


Membership des 
urspr.Senders 


Membership 
des Nachfolgers 


AW I 


Nachfolger 


"WAHR" 


"WAHR" 


AW 2 


Nachfolger 


"FALSCH" 


"WAHR" 


AW 3 


Nachfolger des Nachfolgers 


"FALSCH" 


"WAHR" 


AW 4 


Nachfolger des Nachfolgers 


"WAHR" 


"FALSCH" 



Es ergeben sich somit folgende Fallunterscheidungen beim urspriinglichen Sender einer Nachricht: 



| AW1 


AW 2 


AW 3 


AW 4 




Fall 1 


"WAHR" 


"FALSCH" 


don't care 


don't care 


Normalfall, Nachricht OK 


Fall 2 


"FALSCH" 


"FALSCH" 


don't care 


don't care 


Ubertragungsfehler, Nach- 
folger verliert Membership 


Fall 3 


"FALSCH" 


"WAHR" 


"WAHR" 


"FALSCH" 


ursp. Sender fehlerhaft 


Fall 4 


"FALSCH" 


"WAHR" 


"FALSCH" 


"WAHR" 


Nachfolger fehlerhaft 


alle arte 


eren Falle 


Doppelfehler 



Gegeniiber dem im Europaischen Patent 0 658 257 veroffentlichten Protokoll bietet die vorliegende Erfindung die fol- 25 
genden wirtschaftlichen Vorteile 

(i) Die Knotenrechnermembership ermoglicht die Bildung von unterschiedlichen FTU Konfigurationen, z, B., eine 
FTU mit zwei failsilent Rechnern, wie in TIP, oder eine FTU mit drei Rechnern (TMR-THple Modular Redun- 
dancy). 30 
Da vorgesehen ist, das vorliegende Protokoll in einem VLSI Chip zu implemcnlieren wird das Einsatzgebict eines 
solchen Chips wesentlich erweitert. 

(ii) Wenn in einem System ein nicht replizierter Knotenrechner eingesetzt wird, so ist auch nur eine einzige Sende- 
zeitscheibe vorzusehen. In einem System mit zwei replizierten und vier nicht replizierten Knotenrechnern fuhrt dies 

zu einer Dateneffizienzsteigerung von 33% gegeniiber der FTU Membership. 35 

(iii) Ein Knotenrechner, dessen Nachrichten gestort wurden und der deshalb seine Membership verliert, kann alle 
weiteren Nachrichten empfangen. Dies crlcichtert die Reintegration des Knotenrechners. 

(iv) Auf die Quittungsbits im Nachrichtenkopf kann verzichtet werden, was zu einer weiteren Erhohung der Daten- 
effizienz fuhrt. Nimmt man an, daB eine Nachricht eine Nutzdatenlange von 12 Bit hat (entpricht einem Sensor- 
wert), so wird allein durch den Wegfall der Quittungsbits die Dateneffizienz gegeniiber dem TTP Protokoll urn ca. 40 
10% verbessert. 



AbschlieSend sei festgehalten, daB diese Erfindung sich nicht auf die beschriebene Realisierung mit fiinf Knotenrech- 
nern und zwei Bussen beschrankt. Die beschriebene Auswertelogik zur Quittung der Nachrichten kann in einem hochin- 
tegrierten Mikrokontroller der alle in Fig. 2 gezeigten Funktionseinheiten auf einem einzigen Chip beinhaltet, in Soft- 45 
ware oder in Hardware realisiert werden. 



Patentanspriiche 

1. Methode zur Ubertragung von Nachrichten in einem zeitgesteuerten verteilten fehlertoleranten Computersy- 50 
stem, indem eine Vielzahl von Knotenrechnern iiber einen oder mehrere Broadcast Kommunikationskanale verbun- 
den sind, und wo jeder Knotenrechner iiber eine autonome Kommunikationskontrolleinheit mit den entsprechenden 
Anschlussen an die Kommunikationskanale verfiigt und wo der Zugriff auf die Kommunikationskanale enLspre- 
chend einem zyklischen Zeitscheibenverfahren erfolgt, und wo die Priifsumme der Nachricht beim Sender iiber die 

zu sendende Nachricht verkettet mit dem inneren Zustand des Senders und beim Empfanger iiber die empfangene 55 
Nachricht verkettet mit dem inneren Zustand des Empfangers errechnet wird, dadurch gekennzeichnet, daB die 
Quittung der Nachricht eines sendenden Knotenrechners implizit aus dem Ergebnis von je zwei Priifsummenaus- 
wertungen betreffend die Nachricht des Nachfolger des Senders und die Nachricht des Nachfolgers des Nachfolgers 
des Senders derart abgeleitet wird, daB zuerst im Membershipvektor angenommen wird der urspriingliche Sender 
und der Nachfolger sind funktionsfahig was zu einer positiven Quittung der Nachricht fuhrt, oder daB der urspriing- 60 
liche Sender annimmt, der Nachfolger betrachte den urspriinglichen Sender als fehlerhaft, was zu einer Verlagerung 
der endgultigen Entscheidung, wer funktionsfahig ist, an den Nachfolger des Nachfolgers fuhrt, wobei die Auswer- 
tung der Priifsumme des Nachfolgers des Nachfolgers entscheidet, ob der Nachfolger oder der urspriinglich sen- 
dende Knotenrechner fehlerhaft ist. 

2. Kommunikations methode nach Anspruch 1, dadurch gekennzeichnet, daB die Nachfolgerelation dynamisch aus 65 
dem zum Zeitpunkt der Auswertung gultigen Zustand des Membershipvektors abgeleitet wird. 

3. Kommunikations methode nach den Anspriichen 1 oder 2, dadurch gekennzeichnet, daB die Nachricht auf dem 
Obertragungskanal aus einem Nachrichtenheader, beslehend aus einem I/N Bit und drei Betriebsartenanderungs- 
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bits, einem Datenfeid variabler Lange, und einem Prufsummenfeld besteht. 

4. Kommunikationskontrolleinheit zur Ubertragung von Nachrichten in einem zeitgesteuerten verteilten fehlerto- 
leranten Computersystem, indem eine Vielzahl von Knotenrechnern iiber einen oder mehrere Broadcast Kommuni- 
kationskanale verbunden sind und wo jeder Knotenrechner iiber eine autonome Kommunikationskontrolleinheit mit 

5 den entsprechenden Anschlussen an die Kommunikationskanalc verfiigt und wo der Zugriff auf die Kommunikati- 

onskanale entsprechend einem zyklischen Zeitscheibenverfahren erfolgt, und wo die Prufsumme der Nachricht 
beim Sender iiber die zu sendende Nachricht verkettet mit dem inneren Zustand des Senders und beim Empfanger 
iiber die empfangene Nachricht verkettet mit dem inneren Zustand des Empfangers errechnet wird, dadurch gekenn- 
zeichnet, daB die Quittung der Nachricht eines sendenden Knotenrechners implizit aus dem Eigebnis von je zwei 

10 Priifsummenauswertungen betreflfend die Nachricht des dynamischen Nachfolger des Senders und die Nachricht 

des dynamischen Nachfolgers des Nachfolgers des Senders derart abgeleitet wird, daB zuerst im Membershipvektor 
angenommen wird der ursprungiiche Sender und der Nachfolger sind funktionsfahig was zu einer positiven Quit- 
tung der Nachricht fuhrt, oder daB der ursprungiiche Sender annimmt, der dynamische Nachfolger betrachte den ur- 
spriinglichen Sender als fehlerhaft was zu einer Verlagerung der endgultigen Entscheidung wer funktionsfahig ist an 

15 den Nachfolger des Nachfolgers fuhrt., wobci die Auswertung der Prufsumme des Nachfolgers des Nachfolgers ent- 

scheidet, ob der Nachfolger oder der urspriinglich sendende Knotenrechner fehlerhaft ist. 
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